Recopila registros de seguridad de ServiceNow

Compatible con:

Descripción general

Este analizador extrae datos de eventos de seguridad de los registros JSON de ServiceNow y asigna los campos relevantes a la UDM. Controla varios tipos de eventos, como accesos y cambios de permisos, y propaga la información del usuario principal o de destino, las direcciones IP y los metadatos, como los detalles del proveedor y del producto.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a ServiceNow Security.

Configura un feed en Google SecOps para transferir los registros de seguridad de ServiceNow

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de seguridad de ServiceNow).
  4. Selecciona Webhook como el Tipo de origen.
  5. Selecciona ServiceNow Security como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Opcional: Especifica valores para los siguientes parámetros de entrada:
    • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
  10. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
  11. Copia y almacena la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta nueva, pero esta acción hace que la clave secreta anterior quede obsoleta.
  12. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
  13. Haz clic en Listo.

Crea una clave de API para el feed de webhook

  1. Ve a consola de Google Cloud > Credenciales.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y selecciona Clave de API.

  3. Restringe el acceso de la clave de API a la API de Google Security Operations.

Especifica la URL del extremo

  1. En tu aplicación cliente, especifica la URL del extremo HTTPS que se proporciona en el feed de webhook.
  2. Habilita la autenticación especificando la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:

    X-goog-api-key = API_KEY
    X-Webhook-Access-Key = SECRET
    

    Recomendación: Especifica la clave de API como un encabezado en lugar de hacerlo en la URL.

  3. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de consulta en el siguiente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET
    

    Reemplaza lo siguiente:

    • ENDPOINT_URL: Es la URL del extremo del feed.
    • API_KEY: Es la clave de API para autenticar en Google SecOps.
    • SECRET: Es la clave secreta que generaste para autenticar el feed.

Configura el webhook en ServiceNow

  1. Accede a ServiceNow Security con una cuenta con privilegios.
  2. Ve a Configuración > Supervisión > Conexiones.
  3. Haz clic en Agregar .
  4. Selecciona Webhook.
  5. Especifica valores para los siguientes parámetros:
    • Nombre: Proporciona un nombre descriptivo para el webhook (por ejemplo, Google SecOps).
    • URL: Ingresa el ENDPOINT_URL de SecOps de Google con API_KEY y SECRET.
  6. Haz clic en Guardar para completar la configuración del webhook.

Asignación de UDM

Campo de registro Asignación de UDM Lógica
created_by target.user.userid Se asigna a target.user.userid si snc_user está vacío.
evento metadata.product_event_type Se asigna directamente desde el campo de registro sin procesar "event".
event_created metadata.event_timestamp.seconds Se convierte a segundos a partir del campo de registro sin procesar "event_created" con el filtro date.
ip_address principal.ip Se asigna directamente desde el campo de registro sin procesar "ip_address" si no está vacío.
snc_user target.user.userid Se asigna directamente desde el campo de registro sin procesar "snc_user" si no está vacío.
usuario principal.user.userid Se asigna directamente desde el campo de registro sin procesar "user" si no está vacío o "nulo".
extensions.auth.type Establece el valor en "MACHINE" si el campo event es "Failed Login", "SNC Login", "Admin Login" o "Impersonation".
metadata.event_type Establece el valor en "USER_LOGIN" si el campo event es "Failed Login", "SNC Login", "Admin Login" o "Impersonation". Establece en "USER_CHANGE_PERMISSIONS" si el campo event es "Elevación de seguridad".
metadata.log_type Está codificado de forma fija en “SERVICENOW_SECURITY”.
metadata.product_name Está codificado de forma fija en “SERVICENOW_SECURITY”.
metadata.vendor_name Se codifica de forma fija en "SERVICENOW".
principal.user.userid Se establece en “UNKNOWN” si el campo user está vacío o es “nulo”.